VDB-76407 · CVE-2015-2963 · BID 75304

Thoughtbot Paperclip Gem fino 4.2.1 su Ruby Upload cross site scripting

CVSS Punteggio Meta TempExploit Prezzo Attuale (≈)Punteggio di interesse CTI
4.1$0-$5k0.00

In Thoughtbot Paperclip Gem fino 4.2.1 su Ruby (Ruby Gem) è stato trovato un punto critico di livello problematico. É interessato una funzione sconosciuta del componente Upload Handler. Mediante la manipolazione di un input sconosciuto se causa una vulnerabilità di classe cross site scripting. Questo si osserva su la integrità.

La vulnerabilità è stata pubblicata in data 10/07/2015 (Website) (non definito). L'advisory è scaricabile da robots.thoughtbot.com. Questa vulnerabilità è identificata come CVE-2015-2963. È facile da utilizzare. Dalla rete può partire l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. Dettagli tecnici sul punto critico come anche metodo d'utilizzo non sono a disposizione.

È disponibile un plugin per lo scanner Nessus, numero ID 84322 (FreeBSD : rubygem-paperclip -- validation bypass vulnerabilitiy (0f154810-16e4-11e5-a1cf-002590263bf5)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

L'aggiornamento alla versione 4.2.2 elimina questa vulnerabilità.

La vulnerabilità è documentata anche nei database Tenable (84322).

Prodottoinfo

Genere

Nome

Versione

Licenza

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv3info

VulDB Punteggio meta-base: 4.3
VulDB Punteggio Meta Temp: 4.1

VulDB Punteggio di base: 4.3
VulDB Punteggio temporaneo: 4.1
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VettoreComplessitàAutenticazioneRiservatezzaIntegritàDisponibilità
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 🔍

Exploitinginfo

Classe: Cross site scripting
CWE: CWE-79 / CWE-74 / CWE-707
ATT&CK: T1059.007

Locale: No
Remoto: Si

Disponibilità: 🔍
Stato: Non definito

EPSS Score: 🔍
EPSS Percentile: 🔍

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Daysbloccaresbloccaresbloccaresbloccare
Oggisbloccaresbloccaresbloccaresbloccare

Nessus ID: 84322
Nessus Nome: FreeBSD : rubygem-paperclip -- validation bypass vulnerabilitiy (0f154810-16e4-11e5-a1cf-002590263bf5)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍

Intelligence Sulle Minacceinfo

Interesse: 🔍
Attori Attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinfo

Raccomandazione: Upgrade
Stato: 🔍

0 giorni di tempo: 🔍

Upgrade: Thoughtbot Paperclip Gem 4.2.2
Patch: github.com

Sequenza temporaleinfo

07/04/2015 🔍
18/06/2015 +72 giorni 🔍
18/06/2015 +0 giorni 🔍
10/07/2015 +22 giorni 🔍
10/07/2015 +0 giorni 🔍
12/07/2015 +2 giorni 🔍
14/07/2015 +2 giorni 🔍
31/05/2022 +2513 giorni 🔍

Fontiinfo

Advisory: 9aee4112f36058cd28d5fe4a006d6981bd1eda57
Stato: Non definito
Confermato: 🔍

CVE: CVE-2015-2963 (🔍)
Vulnerability Center: 51155 - Rubygem Paperclip before 4.2.2 Remote XSS via a Spoofed Value, Medium
SecurityFocus: 75304 - Ruby On Rails Paperclip CVE-2015-2963 Cross-Site Scripting Vulnerability

Voceinfo

Data di creazione: 12/07/2015 17:13
Aggiornamenti: 31/05/2022 08:17
I cambiamenti: 12/07/2015 17:13 (60), 12/07/2017 12:11 (4), 31/05/2022 08:12 (4), 31/05/2022 08:17 (1)
Completa: 🔍

Discussione

Ancora nessun commento. Le Lingue: it + en.

Effettua il login per commentare.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!